Handke Holding OÜ Logo

Politica de confidențialitate

Ultima actualizare: 4 decembrie 2025

Cuprins

1. Informații generale și operatorul de date

1.1. Sfera documentului
Prezentul document stabilește regulile privind prelucrarea datelor persoanelor care utilizează serviciile furnizate sub marca Hansa Careers, operată de societatea Handke Holding OÜ, înregistrată în Republica Estonia. Politica de confidențialitate are ca scop prezentarea într-un mod clar și ușor de înțeles a informațiilor referitoare la modul și scopul în care sunt prelucrate datele persoanelor care intră în contact cu operatorul în cadrul activității desfășurate.

1.2. Informații despre operator

Handke Holding OÜ
Harju maakond, Kesklinna linnaosa
Sakala tn 7-2
10141 Tallinn
Estonia

număr de înregistrare (registrikood): 17387477
cod TVA UE: EE102932869

1.3. Natura activității desfășurate
Operatorul desfășoară activități în domeniul serviciilor de intermediere a muncii pe teritoriul Uniunii Europene și al Spațiului Economic European, în special în cadrul contactelor dintre angajatori și persoanele interesate de angajare.

1.4. Persoanele vizate de politica de confidențialitate
Politica de confidențialitate se aplică în special persoanelor:

  • care utilizează serviciile operatorului,
  • care vizitează site-ul www.hansacareers.ee,
  • care participă la procesele de recrutare,
  • care contactează operatorul în scopuri de afaceri, administrative sau informative,
  • care poartă corespondență profesională cu operatorul,
  • care reprezintă entități publice sau private în cadrul contactelor formale.

1.5. Scopurile prelucrării datelor
Regulile descrise în prezenta politică includ prelucrarea datelor în legătură cu:

  • operarea și întreținerea site-ului www.hansacareers.ee,
  • furnizarea serviciilor de intermediere a muncii,
  • executarea contractelor cu clienți și colaborări B2B,
  • gestionarea corespondenței comerciale și administrative curente,
  • îndeplinirea obligațiilor prevăzute de legislația Uniunii Europene și a Republicii Estonia.

1.6. Baza legală
Politica de confidențialitate a fost elaborată în conformitate cu:
– Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 (GDPR),
– Legea Republicii Estonia privind protecția datelor cu caracter personal (Isikuandmete kaitse seadus),
– alte reglementări aplicabile ale Uniunii Europene și ale Republicii Estonia.

1.7. Limba de comunicare și forma de contact
Limba principală utilizată în activitatea Operatorului este limba engleză. Comunicarea scrisă poate fi realizată în orice limbă oficială a Uniunii Europene sau a Spațiului Economic European.

Forma preferată și recomandată de contact cu Operatorul este comunicarea electronică, în special:
– prin intermediul adresei de e-mail: office@hansacareers.ee,
– prin intermediul formularului de contact disponibil pe site-ul internet: www.hansacareers.ee,
– telefonic: +372 5617 1770.

Contactul cu Operatorul poate fi realizat, de asemenea, prin corespondență poștală la adresa indicată în punctul 1.2. În vederea asigurării unei soluționări eficiente a solicitărilor și a unui nivel adecvat de protecție a datelor cu caracter personal, Operatorul, care își desfășoară activitatea exclusiv în format digital, recomandă totuși utilizarea comunicării electronice. Corespondența poștală tradițională, având în vedere natura informațiilor transmise, inclusiv posibilitatea transmiterii datelor cu caracter personal, poate fi asociată cu un timp de procesare mai îndelungat, precum și cu un risc sporit de pierdere a datelor sau de acces neautorizat la acestea.

1.8. Caracterul voluntar al furnizării datelor și responsabilitatea operatorului
Furnizarea datelor este voluntară, însă în anumite situații este necesară pentru utilizarea serviciilor operatorului, participarea la procese de recrutare sau primirea unui răspuns la o solicitare. Lipsa furnizării datelor poate împiedica realizarea acestor scopuri.

Operatorul nu este obligat să desemneze un responsabil cu protecția datelor (DPO), deoarece natura și volumul prelucrării nu îndeplinesc criteriile prevăzute la art. 37 alin. 1 din GDPR.

Operatorul este responsabil pentru:
– conformitatea prelucrării datelor cu legislația aplicabilă,
– aplicarea măsurilor tehnice și organizatorice adecvate pentru protecția datelor,
– exercitarea drepturilor persoanelor vizate,
– cooperarea cu autoritatea estoniană de supraveghere — Andmekaitse Inspektsioon.

2. Categorii de persoane ale căror date sunt prelucrate

În cadrul activității Hansa Careers, desfășurată de Handke Holding OÜ, sunt prelucrate exclusiv datele necesare pentru furnizarea serviciilor de intermediere a muncii, menținerea relațiilor comerciale și gestionarea comunicării operaționale și organizaționale curente. Prelucrarea datelor se realizează în conformitate cu principiile legalității, corectitudinii, transparenței și minimizării, menționate la art. 5 alin. 1 din GDPR, și este limitată în fiecare caz la datele adecvate și relevante pentru scopul prelucrării. Operatorul prelucrează datele următoarelor categorii de persoane:

2.1. Candidați care participă la procesele de recrutare
Persoane fizice care aplică pentru angajare prin intermediul Hansa Careers ca răspuns la procesele de recrutare specifice, active, pentru care au fost publicate anunțuri de angajare. Datele prelucrate pot include, în special, informațiile conținute în curriculum vitae, datele de contact și alte informații furnizate de candidat în legătură cu procesul de recrutare respectiv. Datele candidaților pot fi obținute:

  • direct de la candidat,
  • din surse publice, exclusiv în măsura în care candidatul le-a făcut publice în mod voluntar, în conformitate cu art. 14 din GDPR.

Aceste date sunt prelucrate exclusiv în scopul realizării procesului de recrutare și sunt puse la dispoziție doar clienților pentru care se desfășoară recrutarea respectivă.

2.2. Candidați care transmit date în afara proceselor de recrutare active
Operatorul prelucrează datele candidaților exclusiv în legătură cu procesele de recrutare specifice și active. În situația în care operatorul nu desfășoară procese de recrutare active sau atunci când persoanele fizice transmit date — în special curriculum vitae sau mesaje — fără legătură cu un anunț concret de angajare, aceste date nu sunt acceptate și nu sunt utilizate în niciun proces de recrutare. Datele trimise din proprie inițiativă, fără legătură cu un anunț concret, nu sunt analizate, arhivate sau transmise mai departe și pot fi șterse imediat după primire, fără efectuarea altor acțiuni, cu excepția situației în care legea prevede altfel. Operatorul nu creează o bază de date a candidaților care aplică spontan și nu utilizează astfel de aplicații în procesele de recrutare viitoare. Contactul este inițiat exclusiv cu persoanele care au aplicat în mod direct la un anumit anunț de angajare sau care au declarat public interesul pentru angajare, de exemplu prin postări proprii în rețele sociale, și doar în măsura necesară pentru stabilirea comunicării referitoare la oferta respectivă.

2.3. Clienți și reprezentanții acestora
Persoane fizice și reprezentanți ai entităților comerciale cu care operatorul colaborează în furnizarea serviciilor de intermediere a muncii. Datele prelucrate includ, în special, numele și prenumele, datele de contact, funcția profesională și informațiile necesare executării contractelor sau colaborărilor comerciale.

2.4. Potențiali clienți și parteneri comerciali
Persoane cu care s-a inițiat contactul în legătură cu o ofertă de colaborare sau ale căror date au fost obținute din surse publice, precum site-uri ale companiilor sau platforme profesionale de networking. Aceste date sunt prelucrate în baza interesului legitim al operatorului, constând în desfășurarea activității economice și dezvoltarea relațiilor comerciale.

2.5. Contractanți și furnizori de servicii
Persoane fizice care desfășoară activități independente și reprezentanți ai entităților care furnizează operatorului servicii necesare desfășurării activității, în special servicii tehnice, contabile, juridice sau de comunicare. Aceste date sunt prelucrate în scopul executării contractelor, menținerii comunicării curente și îndeplinirii obligațiilor prevăzute de lege.

2.6. Alte persoane care contactează operatorul și reprezentanți ai autorităților publice
Persoane care trimit solicitări prin intermediul formularelor de contact, e-mailului sau altor canale de comunicare, precum și reprezentanți ai autorităților și instituțiilor publice cu care operatorul poartă corespondență oficială. Datele sunt prelucrate exclusiv pentru gestionarea corespondenței, furnizarea unui răspuns sau îndeplinirea obligațiilor legale.

Informații suplimentare
Operatorul:
– nu obține date din surse nepublice,
– nu desfășoară monitorizare sistematică a persoanelor,
– nu prelucrează date irelevante pentru scopurile urmărite.

3. Domeniul datelor cu caracter personal prelucrate

Domeniul datelor cu caracter personal prelucrate depinde de tipul relației dintre operator și persoana vizată, precum și de scopul pentru care datele sunt furnizate. Operatorul prelucrează exclusiv datele necesare pentru realizarea unor scopuri determinate și legitime, respectând principiul minimizării datelor. Datele personale sunt prelucrate într-un mod adecvat, proporțional și limitat la ceea ce este necesar, în conformitate cu art. 5 alin. 1 lit. c din GDPR și § 11 din Isikuandmete kaitse seadus.

3.1. Date de identificare și de contact
Operatorul poate prelucra, în special, următoarele date:

  • nume și prenume,
  • adresă de e-mail,
  • număr de telefon,
  • alte date de contact furnizate voluntar în conținutul corespondenței sau al formularului de contact,
  • date profesionale în cazul contactelor comerciale (denumirea companiei, funcția, adresa de e-mail profesională, număr de telefon).

Aceste date sunt prelucrate pentru comunicare, furnizarea răspunsurilor la solicitări, realizarea colaborării sau îndeplinirea sarcinilor administrative.

3.2. Datele candidaților care participă la procese de recrutare
În cazul desfășurării unor procese active de recrutare, operatorul prelucrează datele furnizate de candidați exclusiv ca răspuns la anunțuri de recrutare specifice. Domeniul datelor poate include:

  • informații conținute în CV, precum experiența profesională, studiile, calificările, competențele și cunoștințele lingvistice,
  • conținutul mesajului transmis în legătură cu candidatura,
  • alte informații furnizate voluntar de candidat în legătură cu oferta de angajare respectivă.

Operatorul nu obține date ale candidaților din alte surse decât contactul direct ca răspuns la un anunț și nu prelucrează date în afara scopului procesului de recrutare respectiv.

3.3. Candidați care transmit date în afara proceselor de recrutare active
Dacă operatorul nu desfășoară procese active de recrutare sau nu are anunțuri publicate, datele personale trimise din inițiativă proprie (în special CV-uri fără legătură cu un anunț concret) nu sunt acceptate și nu sunt utilizate. Astfel de date sunt șterse fără prelucrare ulterioară, iar operatorul nu creează baze de date sau registre ale candidaților care aplică spontan. Operatorul primește și analizează exclusiv aplicațiile depuse ca răspuns la anunțuri de recrutare specifice și active.

3.4. Date ale clienților și colaboratorilor comerciali
Operatorul prelucrează datele personale ale clienților și ale reprezentanților acestora în măsura necesară pentru furnizarea serviciilor de intermediere a muncii și pentru colaborarea comercială. Aceste date pot include:

  • numele și prenumele persoanei de contact,
  • adresa de e-mail și numărul de telefon,
  • funcția sau rolul profesional,
  • date incluse în contracte, facturi și documente contabile.

Aceste date sunt prelucrate pentru executarea contractelor, pentru comunicarea operațională și pentru îndeplinirea obligațiilor legale în materie fiscală și contabilă.

3.5. Date legate de comunicare și corespondență
Operatorul prelucrează datele conținute în corespondența purtată prin e-mail, formulare de contact sau alte canale de comunicare. Domeniul datelor depinde de conținutul mesajului transmis de expeditor și este limitat la informațiile necesare pentru a răspunde sau pentru a soluționa solicitarea.

3.6. Date tehnice și organizatorice legate de site-ul internet
În legătură cu utilizarea site-ului www.hansacareers.ee pot fi prelucrate date tehnice precum:

  • adresa IP,
  • date privind browserul și sistemul de operare,
  • data și ora conexiunii,
  • date tehnice înregistrate în jurnalele serverului.

Aceste date sunt utilizate exclusiv în scopul asigurării securității site-ului, protecției împotriva abuzurilor și funcționării corecte a acestuia. În acest context, operatorul utilizează serviciile Cloudflare, Inc., care prelucrează date tehnice ca persoană împuternicită de operator.

3.7. Date legate de comunicarea video
În cazul întâlnirilor sau discuțiilor online, operatorul poate utiliza platforma Whereby. Prelucrarea datelor se limitează la informațiile necesare pentru realizarea conexiunii, precum numele sau pseudonimul utilizatorului, adresa IP și datele tehnice ale conexiunii. Operatorul nu înregistrează întâlnirile și nu păstrează conținutul acestora, cu excepția cazului în care participanții sunt informați în prealabil și își exprimă acordul.

3.8. Categorii speciale de date
Operatorul, în principiu, nu prelucrează categoriile speciale de date menționate la art. 9 din GDPR. Operatorul nu solicită furnizarea unor astfel de date și nu le solicită în cadrul serviciilor sale. Dacă astfel de date sunt furnizate voluntar în conținutul corespondenței sau al documentelor, ele vor fi prelucrate exclusiv în măsura necesară pentru scopul pentru care au fost transmise sau vor fi șterse imediat.

4. Scopurile și temeiurile legale ale prelucrării datelor cu caracter personal

Operatorul prelucrează datele cu caracter personal exclusiv în măsura necesară desfășurării activității sale în conformitate cu legislația aplicabilă, într-un mod care respectă principiile corectitudinii, transparenței și minimizării datelor. Prelucrarea datelor se realizează în conformitate cu art. 5 și 6 din Regulamentul (UE) 2016/679 (GDPR) și cu prevederile legislației Republicii Estonia privind protecția datelor personale (Isikuandmete kaitse seadus). Datele sunt prelucrate numai în scopuri clar definite, legitime și nu sunt utilizate ulterior într-un mod incompatibil cu aceste scopuri.

4.1. Realizarea proceselor de recrutare
Datele personale ale candidaților sunt prelucrate în scopul:

  • primirii și analizării aplicațiilor depuse ca răspuns la anunțuri de recrutare specifice,
  • contactării candidaților în cadrul procesului de recrutare,
  • evaluării compatibilității profilului profesional al candidatului cu cerințele ofertei de muncă,
  • transmiterii datelor candidaților către clienții care acționează în calitate de potențiali angajatori – exclusiv în contextul procesului de recrutare respectiv.

Temei legal:
art. 6 alin. 1 lit. a GDPR – consimțământul candidatului,
art. 6 alin. 1 lit. b GDPR – demersuri preliminare în vederea încheierii unui contract,
art. 9 alin. 2 lit. a GDPR – consimțământ explicit în cazul în care candidatul dezvăluie voluntar date din categorii speciale.

4.2. Păstrarea aplicațiilor pentru recrutări viitoare
Datele candidaților pot fi păstrate după finalizarea procesului de recrutare numai dacă aceștia își exprimă un consimțământ explicit și separat. Datele sunt păstrate pentru perioada indicată în consimțământ sau până la retragerea acestuia.

Temei legal:
art. 6 alin. 1 lit. a GDPR.

4.3. Încheierea și executarea contractelor
Datele clienților, colaboratorilor și partenerilor comerciali sunt prelucrate în scopul:

  • încheierii și executării contractelor,
  • furnizării serviciilor de intermediere a muncii,
  • gestionării contactelor comerciale, administrative și operaționale.

Temei legal:
art. 6 alin. 1 lit. b GDPR – executarea contractului,
art. 6 alin. 1 lit. c GDPR – îndeplinirea obligațiilor legale în materie fiscală și contabilă.

4.4. Menținerea relațiilor comerciale și marketing B2B
Datele de contact ale reprezentanților companiilor pot fi prelucrate în scopul:

  • desfășurării comunicării comerciale curente,
  • prezentării ofertelor de colaborare,
  • marketingului direct în relațiile B2B.

Temei legal:
art. 6 alin. 1 lit. f GDPR – interesul legitim al operatorului, constând în desfășurarea și dezvoltarea activității economice.
Persoana vizată are dreptul de a se opune unei astfel de prelucrări.

4.5. Răspunsul la solicitări și gestionarea corespondenței
Datele persoanelor care contactează operatorul prin formulare de contact, e-mail sau telefon sunt prelucrate în scopul oferirii unui răspuns și gestionării corespondenței curente.

Temei legal:
art. 6 alin. 1 lit. f GDPR – interesul legitim al operatorului.

4.6. Decontări, contabilitate și arhivare
Datele personale sunt prelucrate în scopul îndeplinirii obligațiilor contabile, fiscale și de arhivare impuse de legislația Republicii Estonia.

Temei legal:
art. 6 alin. 1 lit. c GDPR – obligația legală a operatorului.

4.7. Asigurarea securității formularelor și sistemelor informatice (Cloudflare)
Operatorul utilizează măsuri tehnice și organizatorice pentru protejarea site-ului și a formularelor de contact împotriva spamului, abuzurilor și încercărilor automate de trimitere a datelor. În acest sens, sunt utilizate serviciile Cloudflare, inclusiv mecanismele de securitate Turnstile, care pot prelucra date tehnice ale utilizatorilor, precum:

  • adresa IP,
  • date privind browserul și sistemul de operare,
  • informații tehnice necesare evaluării riscului de abuz.

Aceste date sunt prelucrate exclusiv pentru asigurarea securității și integrității sistemelor informatice.

Temei legal:
art. 6 alin. 1 lit. f GDPR – interesul legitim al operatorului de a proteja site-ul și datele.

4.8. Stabilirea, exercitarea sau apărarea unor pretenții legale
Datele cu caracter personal pot fi prelucrate pentru stabilirea, exercitarea sau apărarea unor pretenții legale.

Temei legal:
art. 6 alin. 1 lit. f GDPR – interesul legitim al operatorului.

4.9. Îndeplinirea obligațiilor față de autoritățile publice
Datele cu caracter personal pot fi transmise autorităților publice competente, instanțelor sau instituțiilor de control, în măsura impusă de legislația aplicabilă.

Temei legal:
art. 6 alin. 1 lit. c GDPR – obligația legală a operatorului.

5. Temeiurile legale ale prelucrării datelor cu caracter personal

Operatorul prelucrează datele cu caracter personal numai în situațiile în care există un temei juridic clar, prevăzut de:
– Regulamentul Parlamentului European și al Consiliului (UE) 2016/679 din 27 aprilie 2016 (GDPR),
– Legea Republicii Estonia privind protecția datelor cu caracter personal – Isikuandmete kaitse seadus (IKS, RT I, 26.03.2019, 10).

Prelucrarea datelor are loc întotdeauna în conformitate cu principiile stabilite la art. 5 GDPR și § 11 IKS, în special principiile: legalității, corectitudinii, transparenței, limitării scopului, minimizării datelor, integrității și confidențialității.

5.1. Temeiurile prelucrării datelor cu caracter personal (art. 6 GDPR)
Operatorul prelucrează datele cu caracter personal în baza următoarelor temeiuri legale:

a) Consimțământul persoanei vizate
(art. 6 alin. 1 lit. a GDPR; § 10 alin. 1 IKS)
Se referă la situațiile în care persoana își exprimă în mod voluntar și neechivoc consimțământul, în special pentru:

  • participarea la viitoare procese de recrutare,
  • transmiterea datelor către un potențial angajator,
  • prelucrarea datelor suplimentare furnizate voluntar (de ex. imaginea).

Consimțământul poate fi retras în orice moment, fără a afecta legalitatea prelucrării efectuate înainte de retragere (art. 7 alin. 3 GDPR).

b) Executarea unui contract sau demersuri precontractuale
(art. 6 alin. 1 lit. b GDPR; § 10 alin. 1 pct. 2 IKS)

  • realizarea proceselor de recrutare și a serviciilor de intermediere a muncii,
  • inițierea și desfășurarea colaborării cu clienții și contractanții,
  • pregătirea și furnizarea ofertelor de servicii,
  • gestionarea comunicării operaționale curente în timpul colaborării.

c) Îndeplinirea unei obligații legale ce revine Operatorului
(art. 6 alin. 1 lit. c GDPR; § 10 alin. 1 pct. 3 IKS)
Include prelucrarea datelor impusă de legislația estoniană și de dreptul UE, în special:

  • Raamatupidamise seadus § 12–13 – obligația de a ține și păstra evidența contabilă timp de 7 ani,
  • obligații fiscale și de raportare,
  • obligații legate de controale publice și audituri financiare.

d) Interesul legitim al Operatorului
(art. 6 alin. 1 lit. f GDPR; § 11 alin. 2 IKS)
Prelucrarea datelor este necesară pentru realizarea unor scopuri legitime ale Operatorului, precum:

  • desfășurarea comunicării curente și gestionarea solicitărilor,
  • dezvoltarea relațiilor profesionale și a colaborărilor B2B,
  • marketing direct în mediul de afaceri (în conformitate cu Elektroonilise side seadus § 102),
  • asigurarea securității sistemelor informatice, a formularelor de contact și a documentelor,
  • prevenirea abuzurilor și protecția împotriva spamului și atacurilor,
  • stabilirea, exercitarea sau apărarea unor pretenții legale.

Operatorul evaluează de fiecare dată dacă interesul său legitim nu aduce atingere drepturilor și libertăților persoanei vizate (art. 6 alin. 1 lit. f GDPR coroborat cu considerentul 47 GDPR).

e) Îndeplinirea unei sarcini îndeplinite în interes public
(art. 6 alin. 1 lit. e GDPR; § 10 alin. 1 pct. 4 IKS)
Se referă la prelucrarea datelor în cadrul proiectelor derulate sau supravegheate de instituții publice, în special programe ale pieței muncii și mobilității profesionale (de ex. Eesti Töötukassa, EURES, programe ale UE), în măsura în care astfel de prelucrări au loc.

5.2. Prelucrarea categoriilor speciale de date (art. 9 GDPR)
Operatorul, în principiu, nu prelucrează categoriile speciale de date menționate la art. 9 alin. 1 GDPR. Dacă persoana vizată dezvăluie voluntar astfel de informații (de ex. date privind starea de sănătate sau dizabilitatea):

  • prelucrarea are loc exclusiv în baza consimțământului explicit (art. 9 alin. 2 lit. a GDPR; § 21 IKS),
  • datele sunt protejate prin măsuri tehnice și organizatorice sporite (art. 32 GDPR),
  • lipsa consimțământului nu generează consecințe negative pentru persoana vizată.

5.3. Principii generale ale prelucrării datelor
Operatorul asigură că toate operațiunile de prelucrare a datelor cu caracter personal sunt desfășurate în conformitate cu:
– art. 5 și 6 GDPR,
– § 11 Isikuandmete kaitse seadus,
– art. 32 GDPR – în ceea ce privește securitatea prelucrării,
– art. 24 GDPR – principiul responsabilității (accountability).

Operatorul nu efectuează profilare automatizată și nu ia decizii exclusiv pe baza unui proces automatizat în sensul art. 22 GDPR.

5.4. Evaluarea conformității și documentația internă
Pentru a asigura conformitatea cu GDPR și cu legislația estoniană, Operatorul elaborează și actualizează:

  • registrul activităților de prelucrare a datelor (art. 30 GDPR),
  • evaluările de echilibru ale interesului legitim în cazurile de prelucrare în baza art. 6 alin. 1 lit. f GDPR,
  • documentația privind securitatea informațiilor,
  • procedurile de reacție în caz de încălcare a securității datelor (art. 33–34 GDPR, § 23 IKS).

6. Sursele de obținere a datelor cu caracter personal

Datele cu caracter personal prelucrate de Operator provin exclusiv din surse legale și sunt obținute într-un mod conform cu dispozițiile legale, în special art. 13 și 14 din Regulamentul (UE) 2016/679 și prevederile relevante din Isikuandmete kaitse seadus.

În cazul în care datele sunt obținute din alte surse decât direct de la persoana vizată, Operatorul își îndeplinește obligația de informare într-un termen rezonabil, dar nu mai târziu de 30 de zile de la data obținerii datelor, cu excepția cazului în care legea prevede altfel.

6.1. Date obținute direct de la persoanele vizate
Datele cu caracter personal sunt furnizate Operatorului în mod voluntar de către persoanele fizice, în special prin:

  • formularele de contact disponibile pe site-ul web,
  • corespondență prin e-mail,
  • discuții telefonice sau întâlniri online,
  • răspunsuri la anunțurile de recrutare publicate de Operator,
  • comunicarea curentă în cadrul colaborării sau contactelor comerciale.

Domeniul datelor furnizate depinde de natura contactului și de scopul pentru care persoana vizată contactează Operatorul.

6.2. Date obținute în cadrul proceselor de recrutare
În ceea ce privește candidații pentru locuri de muncă, datele sunt obținute exclusiv:

  • direct de la candidați, ca răspuns la un anunț de recrutare publicat de Operator,
  • în cadrul comunicării inițiate de candidat în legătură cu un anumit post.

Operatorul nu acceptă și nu prelucrează CV-uri sau alte date ale candidaților trimise spontan, dacă nu există procese active de recrutare sau dacă datele nu se referă la o ofertă de muncă specifică.
Astfel de date sunt șterse fără întârziere și nu sunt utilizate în scopuri de recrutare.

Operatorul nu folosește surse nepublice și nu obține date din conturi private sau profiluri închise de pe rețele sociale.

6.3. Date ale clienților, contractanților și partenerilor comerciali
Datele personale ale clienților, contractanților și reprezentanților acestora sunt obținute:

  • în cadrul contactelor profesionale directe,
  • în timpul negocierilor, încheierii și executării contractelor,
  • din surse publice legate de activitatea profesională sau economică.

Prelucrarea acestor date are loc exclusiv în măsura necesară colaborării comerciale, comunicării operaționale și îndeplinirii obligațiilor legale.

6.4. Date ale reprezentanților autorităților și instituțiilor publice
Operatorul prelucrează datele personale ale reprezentanților autorităților, instituțiilor publice și organismelor de supraveghere exclusiv în cadrul:

  • corespondenței oficiale,
  • îndeplinirii obligațiilor legale,
  • cooperării cu autoritățile administrative competente.

Domeniul prelucrării include în special numele și prenumele, adresa de e-mail profesională, funcția sau poziția, precum și alte date furnizate în cadrul comunicării oficiale.
Temeiul legal al prelucrării îl constituie, în special, art. 6 alin. 1 lit. c și lit. f din Regulamentul (UE) 2016/679.

6.5. Date tehnice și securitatea formularelor
În timpul utilizării site-ului Operatorului și a formularelor de contact pot fi prelucrate automat date tehnice de bază, precum:

  • adresa IP,
  • data și ora conexiunii,
  • informații tehnice despre browser și sistemul de operare,
  • date necesare pentru asigurarea securității comunicării.

Pentru protejarea formularelor de contact împotriva abuzurilor, spamului și trimitărilor automate, Operatorul utilizează serviciile furnizorului de infrastructură de securitate (Cloudflare, Inc.).
În cadrul acestui mecanism pot fi prelucrate date tehnice ale utilizatorului, inclusiv adresa IP și informații privind natura conexiunii.

Prelucrarea acestor date se bazează pe:
– art. 6 alin. 1 lit. f GDPR – interesul legitim al Operatorului de a asigura securitatea sistemelor și protecția împotriva abuzurilor,
– aplicarea garanțiilor și mecanismelor juridice prevăzute pentru transferurile de date în afara Uniunii Europene.

6.6. Date de registru, contabile și documentare
Datele personale prelucrate în scopuri contabile, fiscale sau de arhivare provin:

  • direct de la clienți și contractanți,
  • din documentele contractuale și de decontare,
  • din corespondența oficială legată de desfășurarea activității comerciale.

Domeniul și durata prelucrării acestor date sunt stabilite direct de legislația estoniană și europeană aplicabilă.

7. Destinatarii datelor cu caracter personal

Datele cu caracter personal prelucrate de Hansa Careers, operând sub marca Handke Holding OÜ, pot fi transmise exclusiv destinatarilor care:
– sunt autorizați să le primească în baza dispozițiilor legale, sau
– prelucrează datele în numele Operatorului în legătură cu realizarea unor scopuri comerciale sau juridice determinate.

Orice transfer de date are loc în conformitate cu principiile stabilite la art. 28 și art. 44–49 din Regulamentul (UE) 2016/679, precum și cu prevederile relevante din Isikuandmete kaitse seadus, cu respectarea principiilor minimizării, confidențialității și limitării scopului prelucrării.

7.1. Potențiali angajatori și parteneri de recrutare
Datele candidaților pot fi transmise potențialilor angajatori sau partenerilor de recrutare exclusiv:

  • în cadrul unui proces de recrutare specific,
  • după informarea prealabilă a candidatului,
  • în măsura necesară evaluării calificărilor profesionale,
  • în baza unui temei legal adecvat, în special consimțământul candidatului sau acțiuni precontractuale.

Datele nu sunt transmise în mod masiv și nu sunt utilizate în afara procesului de recrutare clar definit.

7.2. Entități tehnice și organizaționale care prelucrează date în numele Operatorului
Datele personale pot fi prelucrate de entități care sprijină activitatea Operatorului, în special:

  • furnizori de servicii de găzduire și infrastructură server,
  • operatori de servicii de e-mail și formulare de contact,
  • furnizori de soluții informatice și sisteme de comunicare,
  • furnizori de instrumente pentru organizarea întâlnirilor online și comunicare video,
  • furnizori de soluții de securitate și protecție împotriva abuzurilor, inclusiv protecția formularelor,
  • birouri contabile și servicii de contabilitate,
  • cabinete juridice, consultanți fiscali și consultanți de afaceri.

Aceste entități prelucrează datele exclusiv pe baza unui contract de împuternicire privind prelucrarea datelor și sunt obligate să:
– păstreze confidențialitatea,
– aplice măsuri tehnice și organizatorice adecvate,
– prelucreze datele numai conform instrucțiunilor documentate ale Operatorului.

7.3. Candidați și clienți
Datele personale pot fi furnizate candidaților sau clienților exclusiv în măsura necesară realizării unui scop specific, în special:

  • transmiterea către candidat a informațiilor privind condițiile de muncă, locul de angajare sau profilul angajatorului,
  • transmiterea către client a informațiilor despre un candidat în cadrul procesului de recrutare.

Domeniul datelor transmise este întotdeauna limitat la minimum necesar și depinde de etapa procesului.

7.4. Autorități și instituții publice
Datele personale pot fi transmise autorităților publice competente exclusiv în măsura prevăzută de lege, în special:

  • autorităților fiscale,
  • agențiilor pentru ocuparea forței de muncă și instituțiilor pieței muncii,
  • autorității de supraveghere pentru protecția datelor,
  • instanțelor, organelor de aplicare a legii și altor instituții de control,
  • instituțiilor Uniunii Europene și Spațiului Economic European.

7.5. Furnizori de servicii de comunicare online
În cazul desfășurării de întâlniri sau discuții online, date personale precum numele, adresa de e-mail sau date tehnice ale conexiunii pot fi prelucrate de furnizorii de instrumente de comunicare la distanță.
Această prelucrare are loc exclusiv pentru facilitarea comunicării și organizarea întâlnirilor și se bazează pe interesul legitim al Operatorului sau pe demersuri precontractuale.

7.6. Destinatari ai datelor tehnice în scopuri de securitate
Pentru a asigura securitatea site-ului web, a infrastructurii informatice și a formularelor de contact, date tehnice ale utilizatorilor, precum adresa IP sau informații privind conexiunea, pot fi prelucrate de furnizori de servicii de securitate a rețelei.
În cazul transferului de date în afara Uniunii Europene, sunt aplicate garanțiile juridice prevăzute la art. 44–49 din Regulamentul (UE) 2016/679.

7.7. Principii generale privind transferul datelor
Operatorul:

  • nu vinde datele cu caracter personal,
  • nu furnizează date terților fără un temei legal,
  • nu transmite date în scopuri publicitare, de marketing sau profilare,
  • nu transferă date către rețele sociale sau platforme comerciale în scopuri de marketing.

Fiecare destinatar al datelor le prelucrează în conformitate cu principiile de securitate, confidențialitate și limitare a scopului, exclusiv în măsura necesară îndeplinirii sarcinii atribuite.

8. Transferul datelor cu caracter personal în afara Spațiului Economic European (SEE)

În principiu, Operatorul nu transferă date cu caracter personal în afara Spațiului Economic European (SEE) și nici către organizații internaționale. Principalele operațiuni de prelucrare a datelor cu caracter personal sunt realizate pe teritoriul Uniunii Europene, în special prin utilizarea infrastructurii localizate în UE, inclusiv pe teritoriul Republicii Estonia.

Operatorul utilizează servicii de găzduire și de poștă electronică furnizate de Zone Media OÜ, care operează sub denumirea comercială zone.ee, a cărei infrastructură de prelucrare a datelor este situată pe teritoriul Uniunii Europene.
Datele cu caracter personal prelucrate în legătură cu funcționarea site-ului web și comunicarea prin e-mail sunt, în mod obișnuit, prelucrate în cadrul Spațiului Economic European (SEE) și beneficiază de protecția oferită de Regulamentul (UE) 2016/679 (GDPR).

Pentru asigurarea securității site-ului web, a formularelor de contact, precum și pentru protecția împotriva abuzurilor și activităților automatizate, Operatorul utilizează, de asemenea, serviciile furnizate de Cloudflare, Inc. În acest context, pot fi prelucrate date tehnice, precum adresa IP, datele de conectare la rețea, informații despre browser și dispozitiv, precum și datele necesare pentru evaluarea securității unei solicitări. Având în vedere caracterul global al infrastructurii Cloudflare, aceste date pot fi transferate sau puse la dispoziție în afara SEE, în special către Statele Unite ale Americii.

Transferul datelor cu caracter personal în cadrul utilizării serviciilor Cloudflare se realizează în conformitate cu capitolul V din GDPR, în special în baza clauzelor contractuale standard aprobate de Comisia Europeană (articolul 46 din GDPR), precum și – acolo unde este aplicabil – în temeiul mecanismelor prevăzute de cadrul EU–US Data Privacy Framework.
Operatorul aplică măsuri tehnice și organizatorice suplimentare, precum criptarea transmiterii datelor și limitarea sferei datelor prelucrate la strictul necesar pentru asigurarea securității serviciului.

Operatorul utilizează servicii de semnătură electronică a documentelor furnizate de SignRequest B.V. În legătură cu utilizarea acestor servicii, datele cu caracter personal pot fi transferate în afara Spațiului Economic European (SEE), în special către state terțe, inclusiv către Statele Unite ale Americii.
Astfel de transferuri sunt efectuate în conformitate cu capitolul V din GDPR, în baza clauzelor contractuale standard aprobate de Comisia Europeană (articolul 46 din GDPR), astfel cum sunt prevăzute în acordul de prelucrare a datelor (Data Processing Addendum) care face parte integrantă din termenii și condițiile serviciului.

Operatorul permite desfășurarea de întâlniri online prin intermediul unor instrumente de comunicare video, în special Whereby. Datele prelucrate în cadrul întâlnirilor online sunt, în principiu, prelucrate în cadrul Spațiului Economic European (SEE).
Cu toate acestea, având în vedere caracterul global al infrastructurii tehnice, precum și localizarea geografică a participanților la întâlniri, în cazuri limitate și ocazionale poate avea loc transferul datelor cu caracter personal în afara SEE. Astfel de transferuri sunt realizate cu aplicarea garanțiilor adecvate prevăzute de GDPR, în special pe baza clauzelor contractuale standard sau a altor mecanisme legale de transfer al datelor.

În afara cazurilor menționate mai sus, Operatorul nu efectuează transferuri permanente sau planificate de date cu caracter personal către state terțe. Procesele de recrutare, comunicarea cu clienții și partenerii de afaceri, corespondența electronică, precum și activitățile operaționale curente sunt realizate cu ajutorul unor instrumente și servicii care, în mod obișnuit, prelucrează datele cu caracter personal pe teritoriul Uniunii Europene.

Operatorul permite contactarea prin intermediul unor instrumente externe de comunicare online exclusiv la inițiativa persoanei care inițiază contactul și exclusiv în scop informativ. Având în vedere posibila localizare a serverelor acestor instrumente în afara SEE, acestea nu sunt considerate canale de comunicare recomandate sau sigure pentru aspecte care implică date cu caracter personal.
Operatorul recomandă transmiterea documentelor de candidatură, a datelor care fac parte din categorii speciale, precum și a altor informații sensibile exclusiv prin intermediul canalelor oficiale de comunicare.

În cazul transferului datelor cu caracter personal în afara SEE, Operatorul asigură că un astfel de transfer are loc exclusiv în măsura necesară pentru atingerea scopului determinat, după efectuarea unei evaluări a riscurilor asociate transferului, și cu respectarea principiilor minimizării datelor, confidențialității și securității prelucrării, în conformitate cu articolele 32 și 44–49 din GDPR.

9. Perioada de stocare a datelor cu caracter personal

Operatorul stochează datele cu caracter personal exclusiv pentru perioada necesară îndeplinirii scopurilor pentru care acestea au fost colectate, în conformitate cu art. 5 alin. 1 lit. e din Regulamentul (UE) 2016/679 (GDPR) și § 17 din Isikuandmete kaitse seadus.

După expirarea perioadelor de stocare aplicabile, datele sunt șterse definitiv, anonimizate sau arhivate într-o manieră care împiedică identificarea persoanei, cu excepția cazului în care legislația estoniană sau europeană impune păstrarea lor pentru o perioadă mai lungă.

Perioadele de stocare sunt stabilite ținând cont de:

  • scopul prelucrării,
  • temeiul juridic al prelucrării,
  • natura relației cu persoana vizată,
  • termenele de prescripție prevăzute de legislația estoniană.

9.1. Datele candidaților

a) Datele prelucrate în scopul desfășurării unui proces de recrutare, în răspuns la o ofertă de muncă specifică, în temeiul art. 6 alin. 1 lit. b GDPR, sunt stocate conform perioadei necesare constatării existenței, formulării sau apărării unor pretenții rezultate din serviciile furnizate de Operator.

b) Datele prelucrate în legătură cu un contact inițiat de Operator în scopuri legate de procesele de recrutare, în temeiul art. 6 alin. 1 lit. f GDPR, sunt păstrate până la încheierea comunicării aferente.

c) Datele transmise potențialilor angajatori pentru desfășurarea unui proces de recrutare, în temeiul art. 6 alin. 1 lit. a GDPR, sunt păstrate până la retragerea consimțământului sau până la finalizarea recrutării – în funcție de care eveniment survine mai devreme.

d) Datele prelucrate în scopul decontării serviciilor furnizate clienților în sprijinul procesului de recrutare, în temeiul art. 6 alin. 1 lit. f GDPR, sunt păstrate până la expirarea termenului de prescripție după încheierea contractului, de regulă 3 ani, cu aplicare de la sfârșitul anului calendaristic, conform legislației estoniene.

e) Datele prelucrate în scopul constatării existenței, formulării sau apărării unor pretenții potențiale, în temeiul art. 6 alin. 1 lit. f GDPR, sunt păstrate până la expirarea termenului de prescripție, de regulă 3 ani, cu aplicare de la sfârșitul anului calendaristic, cu excepția cazului în care legislația prevede o perioadă mai lungă.

f) Datele prelucrate în scopul comunicării privind activitatea Operatorului, în temeiul art. 6 alin. 1 lit. f GDPR, sunt păstrate pentru perioada necesară soluționării chestiunii respective.

g) Datele stocate în baza Operatorului pentru viitoarele procese de recrutare, în temeiul art. 6 alin. 1 lit. a GDPR, sunt păstrate maximum 12 luni de la momentul exprimării consimțământului sau până la retragerea acestuia – în funcție de care eveniment survine mai devreme.

h) Documentele de candidatură, în special CV-urile trimise în afara unui răspuns la o ofertă de muncă sau într-o perioadă în care Operatorul nu desfășoară procese active de recrutare, nu sunt prelucrate și sunt șterse fără întârzieri nejustificate.

9.2. Datele clienților

a) Datele prelucrate în scopul efectuării demersurilor precontractuale sau al executării contractului, în temeiul art. 6 alin. 1 lit. b GDPR, sunt păstrate pentru perioada prevăzută de legislație, în special în domeniul contabilității și fiscalității, de regulă 7 ani, conform dreptului estonian, cu excepția cazului în care legislația prevede o perioadă mai lungă.

b) Datele prelucrate în scopul comunicării curente privind încheierea, executarea sau decontarea unui contract, în temeiul art. 6 alin. 1 lit. f GDPR, sunt păstrate pe durata colaborării, cu excepția cazului în care prelucrarea suplimentară este necesară pentru un alt scop legal.

c) Datele prelucrate în scopul îndeplinirii obligațiilor contabile, fiscale sau de raportare, în temeiul art. 6 alin. 1 lit. c GDPR, sunt păstrate pentru perioada prevăzută de legislația estoniană, de regulă 7 ani.

d) Datele prelucrate în scopul constatării existenței, formulării sau apărării unor pretenții derivând din executarea contractului, în temeiul art. 6 alin. 1 lit. f GDPR, sunt păstrate până la expirarea termenului de prescripție, de regulă 3 ani, cu excepția cazului în care legislația prevede o perioadă mai lungă.

9.3. Alte categorii de date

a) Datele potențialilor clienți și contractanți sunt păstrate pentru perioada necesară realizării scopului contactului sau colaborării, maximum 3 ani de la ultimul contact, cu excepția cazului în care păstrarea este necesară pentru apărarea unor pretenții.

b) Datele furnizorilor, prestatorilor și partenerilor de afaceri sunt păstrate pe durata colaborării și ulterior – în conformitate cu termenele de prescripție și obligațiile contabile și fiscale.

c) Datele persoanelor care contactează Operatorul sunt păstrate pentru perioada necesară furnizării unui răspuns și finalizării solicitării, iar ulterior – dacă este justificat – până la expirarea termenului de prescripție, maximum 3 ani.

d) Datele reprezentanților autorităților publice și instituțiilor sunt păstrate pentru perioada necesară îndeplinirii obligației legale sau închiderii procedurii administrative, iar ulterior pentru perioada de arhivare prevăzută de lege, maximum 10 ani.

9.4. Date tehnice și securitatea formularelor
Datele tehnice prelucrate pentru securizarea formularelor de contact (Cloudflare Turnstile), inclusiv adresa IP și informații tehnice, sunt prelucrate automat și pe termen scurt, exclusiv pentru evaluarea riscului, prevenirea abuzurilor și asigurarea securității serviciilor.

Aceste date nu sunt stocate de Operator și nu sunt utilizate în scopuri de marketing sau profilare. Perioada de retenție depinde de setările și procedurile furnizorului de servicii și poate include jurnale tehnice pe termen scurt, păstrate strict pentru asigurarea securității sistemelor sau analiza incidentelor.

În lipsa unor incidente de securitate, datele tehnice nu sunt păstrate pe termen lung.

9.5. Dispoziții finale
După expirarea perioadelor indicate mai sus, datele cu caracter personal sunt șterse definitiv, anonimizate sau arhivate într-un mod care împiedică identificarea persoanei, în conformitate cu § 17 alin. 4 din Isikuandmete kaitse seadus.

Operatorul realizează periodic revizuirea datelor stocate și a necesității prelucrării lor suplimentare, pentru a se asigura că datele nu sunt păstrate mai mult decât este necesar pentru scopurile în care au fost colectate.

10. Voluntaritatea furnizării datelor

10.1. Furnizarea datelor cu caracter personal este, în principiu, voluntară. În anumite situații, furnizarea unor date specifice este totuși necesară pentru realizarea anumitor acțiuni, prestarea serviciilor, desfășurarea unui proces de recrutare sau încheierea ori executarea unui contract cu Operatorul. Nefurnizarea datelor necesare poate avea ca rezultat imposibilitatea realizării acțiunilor respective sau a atingerii scopului urmărit.

10.2. În special:

  • participarea la un proces de recrutare necesită furnizarea datelor de contact și transmiterea documentelor de candidatură;
  • transmiterea de solicitări prin formularul de contact sau prin e-mail necesită furnizarea datelor care permit identificarea expeditorului;
  • încheierea, executarea sau decontarea unui contract necesită furnizarea datelor necesare îndeplinirii obligațiilor contractuale, fiscale sau contabile;
  • utilizarea funcționalităților serviciului poate necesita prelucrarea unor date tehnice de bază, necesare pentru securitatea și funcționarea sistemelor.

10.3. Operatorul informează de fiecare dată care date sunt necesare pentru realizarea unui anumit scop și care sunt opționale. Domeniul datelor prelucrate este limitat la minimumul necesar, în conformitate cu principiul minimizării datelor prevăzut la art. 5 alin. 1 lit. c GDPR.

10.4. În situațiile în care prelucrarea datelor are loc în baza consimțământului persoanei vizate, exprimarea consimțământului este complet voluntară. Consimțământul poate fi retras în orice moment, fără a afecta legalitatea prelucrării efectuate înainte de retragere, în conformitate cu art. 7 alin. 3 GDPR.

10.5. Operatorul depune toate eforturile pentru a asigura transparența prelucrării datelor cu caracter personal și pentru a permite persoanelor vizate un control real asupra domeniului, scopului și duratei prelucrării datelor furnizate.

11. Locul de stocare a datelor și măsurile de securitate

11.1. Datele cu caracter personal prelucrate de Operator sunt stocate exclusiv în format electronic, pe dispozitive și în sisteme aflate sub controlul exclusiv al Operatorului, precum și în sistemele furnizorilor externi de servicii utilizați de Operator în cadrul activității sale, în special servicii de găzduire, servicii de poștă electronică și instrumente pentru semnarea electronică a documentelor.
În principiu, aceste date sunt stocate pe teritoriul Spațiului Economic European (SEE); în cazul în care datele cu caracter personal sunt prelucrate în afara SEE, acest lucru are loc exclusiv în conformitate cu capitolul V din GDPR, în special pe baza clauzelor contractuale standard (articolul 46 din GDPR).

11.2. Locațiile fizice și virtuale de prelucrare și stocare a datelor cu caracter personal includ, în special:

  • un laptop criptat aparținând Operatorului, protejat prin parolă, criptare completă a discului și autentificare cu mai mulți factori;
  • un mediu de stocare extern criptat utilizat pentru realizarea copiilor de siguranță periodice, păstrat într-un loc securizat și separat de sistemul principal;
  • infrastructura furnizorului de servicii de găzduire și poștă electronică Zone Media OÜ (zone.ee), cu sediul la Lõõtsa 5, 11415 Tallinn, Estonia, ale cărui servere sunt localizate pe teritoriul Uniunii Europene și ale cărui măsuri de securitate îndeplinesc cerințele articolului 32 din GDPR, precum și dispozițiile relevante ale legislației estoniene Isikuandmete kaitse seadus;
  • sistemele furnizorilor externi de servicii utilizate pentru semnarea și stocarea documentelor semnate electronic, în special contracte și documente legate de activitatea Operatorului, care funcționează, în principiu, în cadrul SEE sau – în cazul în care datele cu caracter personal sunt prelucrate în afara SEE – pe baza mecanismelor prevăzute la articolul 46 din GDPR, în special clauzele contractuale standard;
  • sistemele instrumentelor de comunicare utilizate pentru desfășurarea întâlnirilor online, Operatorul neînregistrând și nestocând înregistrări audio sau video ale întâlnirilor desfășurate prin intermediul acestor instrumente.

11.3. Operatorul aplică măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului asociat prelucrării datelor cu caracter personal, în conformitate cu articolul 32 din GDPR și cu dispozițiile legislației estoniene Isikuandmete kaitse seadus. Aceste măsuri includ, în special:

  • criptarea transmiterii datelor (SSL/TLS);
  • criptarea dispozitivelor și a mediilor de stocare a datelor;
  • limitarea accesului la datele cu caracter personal exclusiv la Operator;
  • utilizarea de parole puternice și unice, precum și autentificarea cu mai mulți factori;
  • actualizarea periodică a sistemelor de operare, a software-ului și a măsurilor de securitate;
  • realizarea și stocarea în condiții de siguranță a copiilor de rezervă;
  • utilizarea de firewall-uri și software de securitate;
  • blocarea automată a dispozitivelor și protejarea fizică a echipamentelor împotriva accesului neautorizat;
  • neutilizarea dispozitivelor personale sau insuficient securizate pentru prelucrarea datelor;
  • colaborarea exclusiv cu furnizori de servicii care asigură conformitatea cu GDPR;
  • păstrarea documentației privind încredințarea prelucrării datelor și înregistrarea incidentelor;
  • aplicarea procedurilor de răspuns la încălcările securității datelor cu caracter personal, în conformitate cu articolele 33–34 din GDPR;
  • revizuirea periodică a măsurilor de securitate aplicate și a drepturilor de acces, în conformitate cu principiile de „privacy by design” și „privacy by default” (articolul 25 din GDPR).

12. Drepturile tale în legătură cu prelucrarea datelor cu caracter personal

Persoanele ale căror date cu caracter personal sunt prelucrate de Operator beneficiază de drepturile prevăzute de Regulamentul Parlamentului European și al Consiliului (UE) 2016/679 (GDPR) și de legislația Republicii Estonia Isikuandmete kaitse seadus. Operatorul asigură respectarea tuturor drepturilor persoanelor vizate și le pune în aplicare în conformitate cu dispozițiile legale aplicabile.

În special, ai dreptul de a obține informații clare și transparente privind prelucrarea datelor, dreptul de acces la date, de rectificare, de restricționare a prelucrării, de ștergere, de portabilitate, dreptul de a te opune prelucrării, precum și dreptul de a-ți retrage consimțământul – în limitele și condițiile prevăzute de GDPR.

12.1. Dreptul de acces la date și de a obține o copie
Ai dreptul de a obține confirmarea dacă Operatorul îți prelucrează datele cu caracter personal și, în caz afirmativ, dreptul de acces la aceste date și de a obține o copie a acestora, în conformitate cu art. 15 GDPR. Dacă cererea este transmisă pe cale electronică, informațiile vor fi furnizate într-un format electronic uzual.

12.2. Dreptul la rectificarea datelor
Ai dreptul de a solicita rectificarea fără întârziere a datelor cu caracter personal inexacte sau completarea datelor incomplete, în conformitate cu art. 16 GDPR. Operatorul efectuează rectificarea după verificarea temeiniciei cererii.

12.3. Dreptul la restricționarea prelucrării

a) contești exactitatea datelor – pentru perioada necesară verificării acestora; b) prelucrarea este ilegală, dar te opui ștergerii datelor; c) Operatorul nu mai are nevoie de date în scopurile sale, însă acestea îți sunt necesare pentru constatarea, exercitarea sau apărarea unor pretenții legale; d) te-ai opus prelucrării – pentru perioada în care se verifică dacă temeiurile legitime ale Operatorului prevalează asupra intereselor, drepturilor și libertăților tale.

12.4. Dreptul la ștergerea datelor („dreptul de a fi uitat”)
Ai dreptul de a solicita ștergerea datelor cu caracter personal în cazurile prevăzute la art. 17 GDPR, în special atunci când datele nu mai sunt necesare pentru scopurile în care au fost colectate, când ți-ai retras consimțământul sau când prelucrarea a avut loc cu încălcarea legii.
Acest drept nu se aplică atunci când prelucrarea ulterioară este necesară pentru îndeplinirea obligațiilor legale ale Operatorului sau pentru constatarea, exercitarea ori apărarea unor pretenții legale, în conformitate cu art. 17 alin. 3 GDPR.

12.5. Dreptul la portabilitatea datelor
Ai dreptul de a primi datele cu caracter personal pe care le-ai furnizat Operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat și de a le transmite altui operator, dacă prelucrarea se bazează pe consimțământ sau pe un contract și se realizează prin mijloace automate, în conformitate cu art. 20 GDPR.

12.6. Dreptul la opoziție
Ai dreptul de a te opune în orice moment prelucrării datelor tale cu caracter personal atunci când aceasta se întemeiază pe interesul legitim al Operatorului (art. 6 alin. 1 lit. f GDPR).
După formularea opoziției, Operatorul va înceta prelucrarea datelor, cu excepția cazului în care demonstrează că există motive legitime și imperioase care prevalează asupra intereselor, drepturilor și libertăților tale sau că prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unor pretenții legale.
Dreptul la opoziție nu se aplică în situațiile în care prelucrarea datelor este necesară pentru îndeplinirea obligațiilor legale ce revin Operatorului.

12.7. Dreptul de retragere a consimțământului
Dacă prelucrarea datelor are loc în baza consimțământului tău, ai dreptul de a-ți retrage consimțământul în orice moment. Retragerea consimțământului nu afectează legalitatea prelucrării efectuate înainte de retragere, în conformitate cu art. 7 alin. 3 GDPR.

12.8. Dreptul de a depune o plângere la autoritatea de supraveghere
Dacă consideri că prelucrarea datelor tale cu caracter personal încalcă GDPR sau legislația estoniană Isikuandmete kaitse seadus, ai dreptul de a depune o plângere la autoritatea de supraveghere competentă, în special la:
Andmekaitse Inspektsioon (AKI) – autoritatea estoniană pentru protecția datelor.

Dacă locuiești sau lucrezi într-un alt stat membru al Uniunii Europene, poți, de asemenea, să depui plângere la autoritatea de supraveghere competentă din acel stat, în conformitate cu art. 77 GDPR.

12.9. Dreptul de a nu fi supus unei decizii bazate exclusiv pe prelucrarea automată
Ai dreptul de a nu fi supus unei decizii întemeiate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice în ceea ce te privește sau te afectează în mod similar într-o măsură semnificativă, în conformitate cu art. 22 GDPR.
Operatorul nu utilizează decizii automate și nici profilare. Toate deciziile care privesc candidații, clienții și partenerii de afaceri sunt luate de persoane autorizate.

12.10. Exercitarea drepturilor persoanei vizate și contactul cu Operatorul
În vederea exercitării drepturilor prevăzute în prezenta Politică de confidențialitate, persoana vizată poate contacta Operatorul, în special prin mijloace electronice:

adresă de e-mail: office@hansacareers.ee

Operatorul își desfășoară activitatea în întregime în format digital și recomandă comunicarea electronică drept forma principală și cea mai sigură de contact în chestiuni legate de prelucrarea datelor cu caracter personal. Comunicarea electronică permite soluționarea mai rapidă a solicitărilor și reduce riscul accesului neautorizat la datele cu caracter personal.

Corespondența scrisă poate fi transmisă la adresa sediului social al Operatorului:
Handke Holding OÜ
Harju maakond, Kesklinna linnaosa
Sakala tn 7-2
10141 Tallinn
Estonia

Totodată, Operatorul nu recomandă transmiterea prin poștă a documentelor care conțin date cu caracter personal, în special documente de candidatură, copii ale documentelor de identitate sau informații sensibile. Transmiterea unor astfel de date prin poștă poate implica riscul divulgării neautorizate în cursul procesării poștale și rămâne în afara controlului deplin al Operatorului.

Operatorul răspunde solicitărilor privind exercitarea drepturilor persoanei vizate fără întârzieri nejustificate și, în orice caz, cel târziu în termen de o lună de la primirea solicitării, în conformitate cu articolul 12 alineatul (3) din GDPR. În cazuri deosebit de complexe, acest termen poate fi prelungit cu încă două luni, persoana vizată fiind informată în mod corespunzător.

13. Încălcări ale securității datelor cu caracter personal

În cazul unei încălcări a securității datelor cu caracter personal, înțeleasă ca distrugerea accidentală sau ilegală, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la date cu caracter personal, Operatorul adoptă fără întârziere măsuri pentru a limita consecințele incidentului și pentru a preveni reapariția acestuia.

Operatorul evaluează de fiecare dată natura încălcării, amploarea acesteia și riscul potențial pentru drepturile și libertățile persoanelor vizate, iar ulterior implementează măsuri tehnice și organizatorice adecvate pentru înlăturarea cauzelor încălcării și minimizarea efectelor acesteia. Toate incidentele legate de securitatea datelor sunt documentate în conformitate cu principiul responsabilității prevăzut la art. 5 alin. 2 din Regulamentul (UE) 2016/679 (GDPR) și § 25 alin. 3 din Isikuandmete kaitse seadus.

Dacă încălcarea securității datelor cu caracter personal poate genera un risc pentru drepturile sau libertățile persoanelor fizice, Operatorul notifică incidentul autorității de supraveghere competente – Andmekaitse Inspektsioon (AKI), Tatari 39, 10134 Tallinn, Estonia – cel târziu în termen de 72 de ore de la momentul la care a luat cunoștință de încălcare, în conformitate cu art. 33 GDPR și § 25 din Isikuandmete kaitse seadus, cu excepția cazului în care este puțin probabil ca încălcarea să ducă la un astfel de risc.

În situațiile în care încălcarea poate genera un risc ridicat pentru drepturile sau libertățile persoanelor fizice, Operatorul informează fără întârzieri nejustificate persoanele vizate cu privire la natura încălcării, la consecințele posibile și la măsurile adoptate sau planificate pentru a limita efectele negative, în conformitate cu art. 34 GDPR.

Operatorul are implementată o procedură internă de reacție la încălcările securității datelor cu caracter personal, care cuprinde identificarea incidentului, evaluarea riscului, măsurile corective și îndeplinirea obligațiilor de informare. Eficiența acestei proceduri este revizuită periodic pentru a asigura conformitatea cu GDPR și cu legislația estoniană și pentru a menține un nivel ridicat de securitate a prelucrării datelor cu caracter personal.

14. Luarea deciziilor în mod automat și crearea de profiluri

Operatorul nu desfășoară procese de luare a deciziilor în mod automat, inclusiv activități de profilare, care ar putea produce efecte juridice în privința persoanei vizate sau ar putea afecta persoana într-un mod similar, într-o măsură semnificativă, în sensul art. 22 din Regulamentul (UE) 2016/679 (GDPR) și § 23 din Isikuandmete kaitse seadus.

Toate deciziile referitoare la candidați, clienți și parteneri de afaceri sunt adoptate cu implicarea directă a unei persoane, pe baza unei evaluări individuale a informațiilor furnizate, a documentelor sau a conținutului corespondenței. Nicio decizie nu este luată în mod exclusiv automatizat.

Operatorul nu utilizează profilare constând în evaluarea automată a unor caracteristici personale, calificări, comportamente, preferințe sau situații profesionale ale unei persoane fizice în scopul adoptării unor decizii care produc efecte juridice sau o afectează în mod semnificativ.

În gestionarea activităților curente, Operatorul poate utiliza instrumente tehnice cu rol auxiliar (de exemplu, filtrarea mesajelor e-mail, organizarea cererilor sau clasificarea formularelor incomplete), însă aceste instrumente nu adoptă în mod autonom decizii cu privire la persoanele fizice și nu înlocuiesc evaluarea realizată de o persoană.

15. Autoritatea de supraveghere

Dacă ai nelămuriri cu privire la modul în care sunt prelucrate datele tale cu caracter personal sau consideri că drepturile tale prevăzute de Regulamentul (UE) 2016/679 (GDPR) au fost încălcate, ai dreptul de a depune o plângere la autoritatea de supraveghere competentă, indiferent de locul de domiciliu, de locul de muncă sau de locul în care se presupune că a avut loc încălcarea, în conformitate cu art. 77 GDPR și § 21 din Isikuandmete kaitse seadus.

Pentru activitatea desfășurată de Operator pe teritoriul Republicii Estonia, autoritatea de supraveghere competentă este:

Andmekaitse Inspektsioon (AKI), Tatari 39, 10134 Tallinn, Estonia — tel.: +372 627 4135; e-mail: info@aki.ee; website: https://www.aki.ee.

Dacă ai domiciliul sau lucrezi în alt stat membru al Uniunii Europene, poți depune o plângere și la autoritatea de supraveghere competentă pentru statul respectiv, conform art. 77 GDPR.

Lista actualizată a autorităților de protecție a datelor din statele UE este disponibilă pe site-ul Consiliului European pentru Protecția Datelor (EDPB): https://edpb.europa.eu.

Operatorul recomandă totuși ca, înainte de a depune o plângere la o autoritate de supraveghere, să iei legătura direct cu acesta în chestiuni legate de prelucrarea datelor, prin intermediul adresei de e-mail: office@hansacareers.ee.

În caz de nevoie, vă puteți contacta și în formă scrisă Administratorul, trimițând corespondența la adresa sediului acestuia. Menționăm cu amabilitate că forma de comunicare prin poștă poate fi mai puțin sigură pentru datele personale, motiv pentru care forma preferată de contact rămâne cea electronică.

Operatorul va depune toate eforturile pentru a clarifica fiecare situație într-un mod corect, transparent și conform cerințelor GDPR, fără întârzieri nejustificate.

16. Jurisdicție și legislația aplicabilă

Prezenta Politică de Confidențialitate este guvernată de legislația Republicii Estonia și este interpretată în conformitate cu Regulamentul (UE) 2016/679 (GDPR) și cu prevederile legii Isikuandmete kaitse seadus.

În măsura permisă de legislația aplicabilă, orice litigii sau pretenții legate de prelucrarea datelor cu caracter personal, de utilizarea site-ului Operatorului sau de serviciile prestate de acesta intră sub jurisdicția instanțelor Republicii Estonia, competente teritorial pentru sediul Operatorului.

Prevederile prezentului punct nu afectează și nu limitează drepturile persoanelor fizice care decurg din normele obligatorii ale dreptului Uniunii Europene, în special cele referitoare la protecția consumatorilor și la drepturile persoanelor vizate în statul lor de reședință obișnuită sau de muncă, pe teritoriul Uniunii Europene sau al Spațiului Economic European.

17. Actualizări ale Politicii de Confidențialitate

Operatorul poate actualiza periodic prezenta Politică de Confidențialitate pentru a asigura conformitatea acesteia cu legislația în vigoare — în special cu Regulamentul (UE) 2016/679 (GDPR) și cu legea Isikuandmete kaitse seadus — precum și în legătură cu modificările privind activitatea desfășurată, tehnologiile utilizate sau procedurile de prelucrare a datelor cu caracter personal.

Întotdeauna este aplicabilă versiunea Politicii publicată pe site-ul Operatorului, marcată cu data ultimei actualizări. Orice versiune nouă înlocuiește versiunile anterioare din momentul publicării sale.

Operatorul recomandă consultarea regulată a Politicii de Confidențialitate pentru a obține informații actualizate referitoare la regulile de prelucrare a datelor cu caracter personal și la drepturile de care dispui.

În cazul în care sunt introduse modificări semnificative — în special cele care afectează scopurile sau temeiurile legale ale prelucrării sau care modifică categoriile de destinatari ai datelor — Operatorul va informa persoanele vizate într-un mod clar și transparent. Această informare poate fi transmisă printr-un anunț vizibil pe site-ul Operatorului sau, dacă este posibil și Operatorul deține o adresă de e-mail actualizată a persoanei vizate, printr-un mesaj e-mail.

18. Activități de marketing și contact cu Operatorul

Operatorul informează că site-ul web nu utilizează cookie-uri și nici alte tehnologii de urmărire și nu colectează automat date personale în scopuri de marketing sau analiză. Utilizarea site-ului nu implică profilare sau prelucrare automată a datelor utilizatorilor.

Activitățile de marketing desfășurate de Operator se limitează exclusiv la promovarea propriilor servicii de recrutare, în special prin publicarea de informații și oferte pe rețelele de socializare și prin postarea anunțurilor de recrutare online. Operatorul nu utilizează datele utilizatorilor site-ului sau comportamentul acestora pentru crearea de profiluri de marketing.

În cadrul marketingului direct în relațiile B2B, Operatorul poate contacta reprezentanți ai companiilor — de exemplu folosind numele, prenumele, funcția sau adresa de e-mail profesională — exclusiv pentru a prezenta oferta sa de servicii de recrutare. Temeiul legal al acestei prelucrări este interesul legitim al Operatorului de a desfășura activități comerciale și de a-și promova serviciile.

Orice persoană către care Operatorul transmite comunicări de marketing are dreptul de a formula oricând o obiecție cu privire la prelucrarea datelor în acest scop. Obiecția poate fi transmisă la adresa: office@hansacareers.ee. După primirea obiecției, datele nu vor mai fi utilizate în scop de marketing direct.

Operatorul permite, de asemenea, inițierea contactului direct de către utilizatori — fie prin formularul de contact, fie prin e-mail. Datele furnizate în acest mod, inclusiv numele, prenumele, adresa de e-mail sau conținutul mesajului, sunt utilizate exclusiv pentru a răspunde, pentru a desfășura corespondența sau pentru a gestiona solicitarea, în temeiul interesului legitim al Operatorului.

Datele prelucrate în legătură cu activitățile de marketing și comunicare nu sunt transferate în afara Spațiului Economic European (SEE), iar prelucrarea are loc în conformitate cu principiile de minimizare, transparență și limitare a scopului, așa cum sunt prevăzute la art. 5 alin. 1 GDPR.

19. Cookie-uri și tehnologii similare

Site-ul Operatorului nu utilizează cookie-uri și nici alte mecanisme de urmărire care sunt utilizate în mod obișnuit în scopuri de marketing, publicitate sau analiză. Operatorul nu colectează statistici privind comportamentul utilizatorilor, nu folosește instrumente analitice și nu stochează informații privind modul de utilizare a site-ului. Utilizarea site-ului nu implică profilarea sau monitorizarea utilizatorilor.

Singura tehnologie externă utilizată pe site este serviciul Cloudflare Turnstile, folosit exclusiv pentru protejarea formularelor de contact împotriva spam-ului, trimiterilor automate și abuzurilor. Această soluție nu utilizează cookie-uri de marketing, nu urmărește utilizatorii și nu este folosită pentru analiza comportamentului lor.

În cadrul funcționării Cloudflare Turnstile pot fi prelucrate doar date tehnice de bază, cum ar fi adresa IP sau semnalele browserului. Prelucrarea acestor date are loc exclusiv pentru a asigura securitatea și integritatea site-ului, în temeiul interesului legitim al Operatorului.

Deoarece site-ul nu utilizează cookie-uri care necesită consimțământul utilizatorului, nu este necesară afișarea unui banner privind cookie-urile și nici obținerea unui acord — în conformitate cu Directiva ePrivacy și cu legislația estoniană Elektroonilise side seadus.

În cazul în care Operatorul va introduce în viitor cookie-uri sau tehnologii similare care necesită consimțământ — de exemplu pentru îmbunătățirea funcționalității sau realizarea unor statistici anonime — utilizatorii vor fi informați în prealabil într-un mod clar și legal. Consimțământul va fi obținut în conformitate cu cerințele ePrivacy, GDPR și legislația estoniană în domeniul telecomunicațiilor.

Utilizatorii vor putea gestiona în orice moment preferințele privind cookie-urile prin setările browserului sau printr-un viitor panou de gestionare a cookie-urilor, dacă acesta va fi introdus.

20. Jurnalele serverului

Utilizarea site-ului implică trimiterea de solicitări către serverul pe care este găzduit. Fiecare solicitare de rețea este înregistrată automat în așa-numitele jurnale ale serverului și poate include următoarele date tehnice:

adresa IP a dispozitivului utilizatorului;
data și ora solicitării;
informații privind browserul și sistemul de operare;
adresa subpaginii accesate;
eventuale mesaje privind erori tehnice.

Aceste date au un caracter tehnic și nu sunt utilizate pentru identificarea directă a utilizatorilor sau pentru crearea de profiluri. Ele nu sunt prelucrate în scopuri de marketing sau analiză.

Jurnalele serverului sunt prelucrate în special pentru:
asigurarea securității și stabilității site-ului;
diagnosticarea erorilor de sistem sau de rețea;
detectarea abuzurilor, tentativelor de acces neautorizat și incidentelor de securitate.

Temeiul legal al prelucrării acestor date tehnice este articolul 6 alineatul (1) litera (f) din GDPR — interesul legitim al Operatorului de a asigura securitatea sistemelor informatice, în conformitate cu articolul 32 GDPR și § 24 din legea Isikuandmete kaitse seadus.

Jurnalele serverului sunt păstrate maximum 90 de zile, cu excepția cazului în care o păstrare mai îndelungată este necesară din cauza unui incident de securitate, a unui abuz sau a necesității de a formula sau apăra pretenții. După expirarea acestui termen, datele sunt șterse automat sau anonimizate.